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(57) Abstract: The invention concerns a method for making secure the access to a computer server from a client site via at least a 
first communication network, said server comprising means for managing a protocol authenticating a user of a client site, comprising 
a reception sequence and processing of identification data of a user of a client site, and a sequence for transmitting a message from 
the server site to a communication equipment held by the user of the client site via a second communication network. The transmitted 
message is a voice message to be processed directly by said user to generate an authenticating password designed to be transmitted 
to said server site via one or the other of the first or second communication networks. The invention provides the advantage of 
enhancing security of authenticating protocols, particularly existing ones, at lower costs. 
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(57) Abregl: Proce*d£ de securisation d'acces a un serveur informatique depuis un site client via au moins un premier re'seau de 
communication, ce serveur comprenant des moyens pour gerer un protocole d'authentiflcation d'un utilisateur du site client, com- 
prenant une sequence de reception et le traitement de donnees d* identification d'un utilisateur du site client, et une sequence 
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Publiee: 

— Sons rapport de recherche Internationale, sera republiee 
des reception de ce rapport. 



En ce qui conceme les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
la Gazette du PCT. 



de transmission d'un message depuis le site serveur vers un dquipement de communication detenu par l'utilisateur du site client via 
un second r£seau de communication. Le message transmis est un message vocal destine' a e*tre traite' directement par ledit utilisateur 
pour gdnerer un mot de passe d' authentication pre*vu pour Store transmis audit site serveur via Yun ou 1' autre des premier ou second 
reseaux de communication. Avantage: renforcement a moindre cofit du niveau de securisation des protocoles d' authentification 
notamment existants. 
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"Precede et systeme d'acces securise a un serveur informatique" 

La presente invention concerne un procede permettant 
d'augmenter le niveau de securisation du protocole d'authentification 
5 du demandeur d'acces a un serveur informatique. Elle concerne 
egalement un systeme d'acces securise mettant en oeuvre ce procede. 

Un demandeur d'acces ou client utilise en pratique un ordinateur 
individuel ou Un poste de travail muni de moyens de connexion a un 
reseau de communication, par exemple le reseau Internet. 
10 Un serveur informatique est constitue d'un ordinateur muni de 

moyens de connexion au meme reseau. II sert a mettre en relation le 
client avec divers services tels que des bases de donnees. 

Une procedure d'acces a un serveur pour un client se deroule 
classiquement en trois phases : 
15 - l'acces au site serveur via I'etablissement d'une connexion (par 

exemple TCP/IP), via un reseau generaliste ou prive de 

transmission de donnees (par exemple Internet) ; 

- I'entree d'une identification ; et 

- I'entr6e d'un mot de passe client. 

20 L'acces est refuse si le couple [identification / mot de passe 

client] n'est pas conforme aux informations stock6es dans une base de 
donnees dite d'" authentication " geree par le serveur lui-meme ou par 
un serveur intermediaire adapte. 

Les procedures connues presentent un certain nombre de 

25 faiblesses vis-a-vis de malveillances, telles que le vol des couples [code 
d'identification / mot de passe] via un logiciel de recherche 
automatique de mot de passe ou une compjicite du cot6 " serveur " 
permettant de connaTtre le contenu de la base de donnees 
d'authentification. 

30 Diverses solutions sont connues pour renforcer la securisation de 

l'acces : 
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- cote serveur un dispositif auxiliaire permettant ia generation de 
mots de passe aleatoires et/ou cryptes, mais necessitant la 
possession par le client d'un appareil synchronise avec le 
serveur, generant un mot de passe pseudo-aleatoire et de courte 

5 d-uree de vie en fonction de la date et de I'heure ; 

- la dotation des ordinateurs individuels d'un peripherique lecteur 
d'une carte electronique {" carte a puce "), securisant I'accSs 
selon un protocole similaire a celui utilise pour les cartes 
bancaires ; le client doit done disposer d'une telle carte et d'un 

10 peripherique special sur le terminal a partir duquel il se connecte 

au reseau ; 

- ('identification de la machine du client par un code 
d'identification tel que celui integre par le constructeur sur ses 
microprocesseurs ; I'acces est securise par identification du ou 

1 5:1 ; des composants connus du serveur; I'inconvenient est qu'en 

dehors des machines dument repertoriees, le client ne peut 
effectuer aucun acces. 

Par ailleurs, les systemes de cryptage connus, tels que 
1'algorithme RSA, necessitent des puissances de calcul importantes 
20 pour obtenir un bon niveau de securite. 

On connaTt par le document WO9731306 un procedS pour 
fournir a un client des donnees d'authentification au moyen de services 
de transmission de message SMS sur son telephone portable, via un 
reseau de tetephonie mobile. 
25 Le document US5668876 divulgue un proc6d6 pour authentifier 

un utilisateur d'un site fournisseur de service Electronique connect^ sur 
un r6seau de communication, cet utilisateur detenant un telephone 
portable. Ce procede d'authentification comprend : 

- une etape de transmission d'un code de demande sur un second 
30 reseau de communication, par exemple un reseau de telephonie 
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mobile, ce code etant recu sur une unite personnelle de 
I'utilisateur requerant, 

- une etape de generation, au sein de I'unite personnelle de 
I'utilisateur, d'un code de reponse, fondee sur un algorithme 

5 ayant comme variables d'entree le code de demande recu et une 

donnee entree par I'utilisateur, 

- une etape de generation, au sein de I'unite personnelle, d'un 
code de sortie comprenant le code de reponse, ce code de sortie 
etant alors soit transmis a partir de I'unite personnelle vers le 

10 centre d' authentication, soit entre sur un terminal de 

I'utilisateur relie au premier reseau de communication, 
une etape de comparaison au sein du centre d'authentification 
entre le code de reponse recu et le code de reponse attendu, et 

- une etape pour permettre faeces au service electroniqtie en cas 
15 de comparaison satisfaite. 

Les procedes de securisation ou d'authentification precites 
presentent I'inconvenient de necessiter une cooperation active d'un 
operateur de telephonie mobile et parfois une adaptation des 
equipernents de communication mobile mis en oeuvre dans ces 
20 procedes. 

La pr6sente invention a pour objet de proposer une autre 
solution qui ne necessite pas I'intervention active d'un operateur de 
telephonie mobile et qui soit tres fiable, tres souple et peu couteuse. 

Elle propose un procede d'acces sicurise a un serveur 

25 informatique depuis un site client via au moins un premier reseau de 
communication, ce serveur comprenant des moyens pour gerer un 
protocole d'authentification d'un utilisateur du site client, comprenant 
une sequence de reception et le traitement de donnees d'identification 
d'un utilisateur du site client, et une sequence de transmission d'un 

30 message depuis le site serveur vers un 6quipement de communication 
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detenu par I'utilisateur du site client via un second reseau de 
communication. 

Suivant I'invention, ce message transmis est un message vocal 
destine a etre traite directement par ledit utilisateur pour generer un 
5 mot de passe d'authentification prevu pour etre transmis audit site 
serveur via Tun ou I'autre desdits premiers ou second reseaux de 
communication. 

L'idee a la base de la presente invention est done de faire 
intervenir dans le protocole d'authentification un telephone mobile dans 
10 sa fonction de transmission vocale et non de transmission 
d'informations numeriques ou de messages courts, te site serveur etant 
muni de moyens lui permettant d'appeler le telephone mobile et de lui 
transmettre un message vocal. 

Le premier reseau de communication peut 6tre le reseau Internet 
15 et plus generalement tout reseau de communication filaire bu non 
filaire, par exemple un reseau de communication mobile. 

Le second reseau de communication mis en ceuvre dans le 
procede de securisation selon I'invention est de preference un reseau 
de communication mobile, mais pourrait etre un reseau de 
20 communication fixe capable de communiquer avec des equipements de 
communication mobile. 

Le procede selon I'invention n'exige du cot6 du site client aucun 
dispositif informatique special d'identification, integre ou peripherique. 
II requiert la possession d'un telephone mobile ordinaire, appareil qui 
25 tend a se generaliser parmi les professionnels et les particuliers. Le 
cout d'equipement cote serveur reste 6galement modeste puisque 
notamment un modem standard du type comportant une unite de 
synthese vocale peut etre utilise pour realiser la connexion avec le 
reseau de t6l6phonie mobile. 
30 Un autre avantage selon I'invention reside dans le fait que ni le 

poste serveur, ni le poste client ne necessitent de puissances de calcul 
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importantes comparees aux systemes de cryptage de I'etat de la 
technique, d'ou une forte reduction des couts pour un systeme selon 
I'invention. On peut egalement prevoir une reduction des couts de 
deploiement et surtout une absence de surcout lors d'un changement 
5 des procedures par rapports aux solutions de securisation a base de 
materiel. 

II est a noter que la securisation apportee par le systeme selon 
I'invention est renforcee par la procedure d'identification du telephone 
mobile lui-meme par son reseau d'abonnement. Cette procedure met 
10 en oeuvre dans le cas de la norme GSM un composant electronique 
specifique (carte SIM) branche sur Tappareil, et la possibility pour le 
client d'avoir un mot de passe modifiable (code PIN) qui doit etre saisi 
lors de la mise en marche du telephone. 

En cas de vol du telephone mobile ou du composant SIM, celui- 
15 ci peut instantanement etre mis hors service pour I'ensemble des 
reseaux GSM sur un simple appel au fournisseur d'abonnement du 
telephone mobile. On pourra prevoir egalement que suivant une 
declaration de vol, I'acces au reseau sera automatiquement ferme. 

Le procede selon Tinvention permet de reutiliser les procedures 
20 existantes en ajoutant un niveau de securite. II peut s'appliquer en 
complement de n'importe quel logiciel d'acces. 

Ainsi, la donnee d'identification demandee au client peut etre le 
couple [code d'identification / mot de passe client] (ID/MPC) du 
protocole d'authentification connu de V6tat de la technique, de sorte 
25 que la connaissance directe ou indirecte de ce couple ne sera plus 
suffisante en soi pour obtenir I'acces au serveur. 

Dans une premiere variante de realisation, le procede selon 
I'invention comprend les etapes consistant a : 

- demander au site client des donn§es d'identification via le premier 
30 reseau de communication ; 
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- traiter lesdites donnees et rechercher dans une base de donnees 
d'authentification un numero d'appel d'un equipement de 
communication mobile detenu par I'utilisateur du site client ; 

- appeler ledit equipement de communication mobile via au moins un 
5 second reseau de communication ; 

- apres etablissement d'une communication avec ledit equipement de 
communication mobile, generer un mot de passe aleatoire ou pseudo- 
aleatoire; 

- emettre un message vocal comprenant ledit mot de passe aleatoire 
10 via le second reseau de communication; 

- demander a I'utilisateur de fournir, a partir du site client via le premier 
reseau de communication, un mot de passe d'authentification derive 
dudit mot de passe aleatoire ou pseudo-aleatoire ; et 

- authentifier ledit mot de passe d'authentification. 

15 Le mot de passe d'authentification peut par exemple 

correspondre au mot de passe aleatoire ou pseudo-ateatoire genSre par 
i le serveur et communique via I'equipement de communication mobile. 

Mais on peut aussi pr^voir que le mot de passe 
d'authentification sera constitue par le mot de passe aleatoire ou 
20 pseudo-aleatoire genere par le serveur et communique via I'equipement 
de communication mobile, auquel est appliquee une cle connue du 
client utilisateur et comprise dans la base de donn6e d'authentification 
du serveur, I'etape d'authentification comportant une dtape de 
conversion dudit mot de passe d'authentification en mot de passe 
25 aleatoire ou pseudo-aleatoire par application de ladite cle. 

La cle peut etre une constante connue et personnelle par 
exemple ajout^e ou retranch^e pour obtenir le mot de passe serveur. II 
peut s'agir aussi d'une operation de logique, comme une permutation. 
Les donnees d'identification demand^es au client peuvent 
30 consister en un couple [code d'identification / mot de passe client]. 
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L'etape qui consiste a demander au client le mot de passe 
d'authentification se deroule de preference pendant une duree 
predetermine au deia de laquelle I'authentification est refusee. 

Dans une autre variante de realisation du procede selon 
5 ['invention, ce proc§d6 comprend les etapes cote site serveur 
consistant a : 

- demander au site client des donnees d'identification via le premier 
reseau de communication; 

- traiter lesdites donnees et rechercher dans une base de donnees 
10 d'authentification un numero d'appel d'un equipement de 

communication mobile detenu par I'utilisateur du site client ; 

- appeler ledit equipement de communication mobile via au moins un 
second reseau de communication ; 

- en cas d'obtention de la communication avec ledit equipement de 
15 communication mobile, emettre un message vocal requerant renvoi par 

I'utilisateur d'une cle de cryptage ; 

- recevoir et reconnaitre la cle de cryptage transmise par le client via 
des touches de I'equipement de communication mobile; 

- decrypter a I'aide de ladite cle de cryptage un mot de passe 
20 d'authentification transmis par le client via le premier reseau de 

communication, ce mot de passe d'authentification resultant d'un 
cryptage d'un mot de passe client realise sur le site client au moyen 
de la cle de cryptage ; et 

- authentifier le mot de passe client resultant du decryptage du mot de 
25 passe d'authentification. 

On peut egalement pr6voir de remonter via le second reseau de 
communication mobile des informations d'acces resultant du message 
vocal transmis par le serveur via ce second reseau et le realiser de 
nombreuses facons. On peut par exemple prevoir le processus 
30 suivant : 
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Un message vocal emis par le serveur est recu via le second 
reseau de communication par un client utilisateur sur son telephone 
portable, en reponse a une requete transmise au serveur via le premier 
reseau de communication a partir d'un terminal connecte a ce r6seau. 
5 Ce message vocal indique par exemple un element d'information a 
traiter sur le terminal. 

Le client utilisateur effectue alors un traitement predetermine 
(par exemple, une translation ou toute autre modification simple ou 
complexe) a I'element d'information indique et le frappe ensuite sur le 

1 0 clavier de son telephone portable. 

Ce mode specifique de mise en ceuvre du procede de 
securisation selon I'invention est particulierement adapte aux 
terminaux disposants de moyens de saisie rudimentaires tels que les 
terminaux de paiement electronique. 

15 Suivant un autre aspect de I'invention, il est propose un systeme 

de securisation d'accds a un serveur informatique depuis un site client 
via au moins un premier reseau de communication, mettant en oeuvre 
le procede selon I'invention, ce systeme comprenant sur le site serveur 
des moyens pour gerer un protocole d'authentification d'un utilisateur 

20 du site client, des moyens pour recevoir et traiter des donnees 
d'identification d'un utilisateur du site client, et des moyens pour 
generer et pour transmettre un message depuis le site serveur vers un 
equipement de communication detenu par I'utilisateur du site client via 
un second reseau de communication, caracterise en ce que ce systeme 

25 est agenc6 pour transmettre via le second reseau de communication un 
message vocal destine a etre traite directement par ledit utilisateur 
pour generer un mot de passe d'authentification prevu pour etre 
transmis audit site serveur via ledit premier r6seau de communication. 
Ce systeme peut en outre avantageusement comprendre, dans 

30 une premiere variante de realisation : 
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- des moyens pour rechercher, en reponse a une reception de donnees 
d'identification en provenance d'un site client requerant un acces, dans 
une base de donnees d'authentifieation un numero d'appel d'un 
equipement de communication mobile detenu par I'utilisateur du site 

5 client ; 

- des moyens pour appeler ledit equipement de communication mobile 
via au moins un second reseau de communication ; 

- des moyens pour generer un mot de passe aleatoire ou pseudo- 
aleatoire, et 

10 - des moyens pour authentifier un mot de passe d'authentifieation en 
provenance du site client via le premier reseau de communication, 
caracterise en ce qu'il comprend en outre : 

- des moyens pour emettre un message vocal comprenant ledit mot de 
passe aleatoire via le second reseau de communication, et 

15 - des moyens pour requerir de I'utilisateur dudit site client une 
fourniture, via le premier reseau de communication, d'un mot de passe 
d'authentifieation derive dudit mot de passe aleatoire ou pseudo- 
aleatoire. 

Dans une seconde variante de realisation, le systeme selon 
20 I'invention peut avantageusement comprendre : 

- des moyens pour demander au site client des donnees d'identification 
via le premier reseau de communication; 

- des moyens pour traiter lesdites donnees et rechercher dans une base 
de donnees d'authentifieation un numero d'appel d'un equipement de 

25 communication mobile detenu par I'utilisateur du site client ; 

- des moyens pour appeler ledit equipement de communication mobile 
via au moins un second reseau de communication ; 

- des moyens pour imettre un message vocal requerant I'envoi par 
I'utilisateur d'une cle de cryptage ; 

30 - des moyens pour recevoir et reconnaitre la cle de cryptage transmise 
par le client via des touches de I'equipement de communication mobile; 
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- des moyens pour decrypter a I'aide de ladite cle de cryptage un mot 
de passe d'authentification transmis par le client via le premier reseau 
de communication, ce mot de passe d'authentification resultant d'un 
cryptage d'un mot de passe client realise sur le site client au moyen 

5 de la cle de cryptage ; et 

- des moyens pour authentifier le mot de passe client resultant du 
decryptage du mot de passe d'authentification. 

On pourra egalement renforcer la securisation du procede selon 
I'invention, en prevoyant la deactivation automatique de I'acces au 

10 serveur des qu'un nombre predetermine de tentatives a echoue a Tune 
quelconque des etapes de saisie, et la possibility de demander la 
deactivation immediate du telephone aupres du fournisseur de 
t6r§phonte mobile. 

- Suivant encore un autre aspect de I'invention, tl est propose une 

1 5 application du procede de securisation selon I'invention dans un 
systeme d'authentification d'oeuvres numeriques comportant des sites 
tierces parties de datation, d'authentification et d'archivage connectes 
a un premier reseau de communication, caracterisee en ce que chaque 
site tierce partie comprend localement des moyens logiciels prevus (i) 

20 pour transmettre sous forme vocale a un site client sollicitant une 
operation d'authentification des donnees de securisation via un 
equipement de communication mobile associe audit site client et 
connecte a un second reseau de communication, et (ii) pour recevoir 
dudit site client via le premier reseau de communication un mot de 

25 passe d'authentification resultant desdites donnees de securisation. 

La presente invention sera mieux comprise et d'autres avantages 
apparaitront a la lumiere de la description qui va suivre de deux 
exemples de realisation du systeme et des procedes associes selon 
('invention, description faite en reference aux dessins annexes sur 

30 lesquels : 
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- la figure 1 est un schema synoptique du premier exemple de 
realisation du systeme selon I'invention ; 

- la figure 2 est un organigramme du procede d'authentification 
execute par le serveur mettant en oeuvre le systeme de la figure 1 ; 

5 - la figure 3 montre schematiquement une page ecran generee 

par le serveur et utilisee par le client pour la transaction 
d'authentification du procede de la figure 2 ; 

- la figure 4 est un schema synoptique du second exemple de 
realisation du systeme selon I'invention ; 

10 - la figure 5 est un organigramme du procede d'authentification 

execute par le serveur mettant en oeuvre le systeme de la figure 4 ; 

- la figure 6 montre schematiquement une page ecran generee 
par le serveur et utilisee par le client pour la transaction 
d'authentification du procede de la figure 5 ; et 

15 - la figure 7 est un schema synoptique illustrant une application 

du prdcedS de s^curisation selon I'invention pour la protection juridique 
d'ceuvres numeriques. 

Comme illustre schematiquement & la figure 1 , un premier 
exemple de realisation du systeme selon I'invention comprend : 

20 - sur un site client 1, un ordinateur individuel 2 equipe d'un 

modem 3 pour acceder a un reseau de transmission de donnees 4 et 
un telephone mobile 5 personnel, abonne a un reseau de t6lephonie 
mobile 6, par exemple au standard GSM ; et 

- sur un site serveur 7, un serveur constitue d'un ordinateur 8 
25 sur lequel est charg6 un logiciel adapte a gerer le procede d'acces du 

client aux services 9 du serveur selon I'invention, notamment le 
protocole d'authentification du client ; I'ordinateur est 6quipe d'un 
modem 10 lui permettant d'etablir une liaison avec le n§seau de 
telephonie mobile 6 et d'appeler un num6ro de telephone, de moyens 
30 1 1 de generation d'un mot de passe aleatoire ou pseudo-ateatoire 
MPA, et d'un circuit de synthese vocale 12 lui permettant de 
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communiquer au telephone mobile 5 un message comprenant le mot de 
passe MPA genere aleatoirement necessaire au protocole 
d'authentification. L'ordinateur 8 est relie a une base de donnees 
d'authentification BDA comprenant pour chaque client repertorie un 
5 triplet [code d'identification ID / mot de passe client MPC/numero de 
telephone mobile personnel associe]. 

Le procede d'acces securise se deroule de la maniere suivante. 
Le client sur le site client 1 demande I'acces au serveur. La 
liaison entre le site client 1 et le site serveur 7 via ie reseau de 

10 transmission de donnees 4 se fait de maniere classique et connue en 
soi par ('intermediate du modem 3 du site client 1, du reseau 
telephonique commute, d'un fournisseur d'acces au reseau generaliste 
Internet et d'lnternet. 

En retour, le serveur affiche sur l'ordinateur ihdividuel 2 une 

15 page ecran 15, representee sur la figure 3, comprenant trois champs 
de saisie : les deux premiers champs 16 et 17 correspondent au couple 
classique [code d'identification ID et mot de passe client MPC], le 
troisieme champ 18 correspond a un mot de passe d'authentification 
MPAUT qui est derive du mot de passe aleatoire ou pseudo-aleatoire 

20 MPA qui sera communique par le serveur au site client 1 via le 
telephone mobile 5. Ce mot de passe d'authentification MPAUT 
correspond ici au mot de passe aleatoire ou pseudo-aleatoire MPA 
genere par le serveur. 

Dans un premier temps, le client saisit son couple [code 

25 d'identification-mot de passe client] (ID/MPC) qui est deja securise par 
n'importe quel processus connu a partir de la base de donnees 
d'authentification BDA. 

En se r6f6rant a I'organigramme de la figure 2, les 6tapes 
suivantes du protocole, specifiques k la presente invention, ne seront 

30 executees par le serveur qu'a la condition prealable que I'etape de 
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controle identification / mot de passe client a I'etape 20 soit couronnee 
de succes. 

Si tel est le cas, I'etape suivante 21 consiste a composer le 
numero du telephone mobile identifie grace a la base de donnees 
5 d'authentification BDA a I'aide du modem 10. A I'etape suivante 22, si 
la communication tel6phonique avec le telephone mobile est obtenue 
(par exemple par I'indication du " decrochage " par le modem 10 du 
site serveur), le serveur genere un mot de passe aleatoire MPA et emet 
grace a son circuit de synthese vocale ce mot de passe MPA genere 

10 vers le telephone mobile 5. L'etape suivante 23 correspond a une 
etape d'attente de la saisie du mot de passe d'authentification MPAUT 
par le client au niveau du site client pendant une duree limitee 
predeterminee (6tape 24). Si £ I'etape 25, le mot de passe MPAUT 
saisi est conforme, I'authentification est confirmee et le client peut 

1 5 acceder aux services 9 du serveur. 

L'echec de I'authentification intervient done daps les 
circonstances suivantes : 

I 

- echec de I'authentification classique du couple [ID /MPC] ; 

- non-obtention de la communication avec le telephone mobile ; 
20 - mauvaise ou absence d'entree du second mot de passe 

MPAUT dans le delai predetermine. 

Des variantes de realisation sont possibles, notamment 
concernant le mot de passe serveur derive du mot de passe aleatoire 
MPA qui peut etre constitue dudit mot de passe aleatoire MPA auquel 

25 est ajoutee une cle arithm6tique ou logique personnelle au client et 
comprise dans la base de donnees d'authentification BDA dans un 
champ suppl6mentaire a ceux d6jS pr6vus pour le code d'identification 
ID, le mot de passe client MPC et le numero de telephone mobile. Le 
serveur sera 6quipe de moyens lui permettant de recalculer le mot de 

30 passe genere MPA pour proc6der a l'§tape d'authentification. 
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Les figures 4 a 6 concement un autre mode de realisation du 
systeme selon I'invention se differencial par le fait que le site client 1 
est equipe en outre de moyens de cryptage 30 qui sont adaptes a 
crypter le mot de passe client MPC une fois celui-ci saisi par le client 
5 avant de I'envoyer via le reseau 4 de transmission de donnees au site 
serveur 7. Du cote du site serveur, celui se differencie par des moyens 
de reconnaissance 31 d'un signal envoye par le client via les touches 
de son telephone mobile personnel 5 et des moyens de decryptage 32 
adaptes a decrypter le mot de passe client MPC selon une o\6 de 

10 cryptage qui est transmise par le client via les touches de son 
telephone mobile. La base de donnees d'authentification BDA ne 
comporte ici que deux champs contenant Tun le code ID et I'autre le 
mot de passe client MPC. Le protocole d'authentification apres 
decryptage correspond au protocole connu dans Tart anterieur. 

15 Le procede d'acces securise utilisant ce systeme se deroule de la 

maniere suivante. 

En r^ponse a une demande d'acces de la part du client utilisant 
le site client 1 , le serveur affiche sur I'ordinateur individuel 2 une page 
ecran 35 representee a la figure 6 f ne comprenant par rapport au 

20 premier mode de realisation que deux champs de saisie 36 et 37 qui 
correspondent au couple classique [code d'identification ID et mot de 
passe client MPC]. Immediatement apres la saisie du mot de passe 
client MPC, les moyens 30 cryptent le mot de passe client saisi selon 
une cle de cryptage connue seulement du client. Ce mot de passe 

25 client crypte correspond au mot de passe dit d'authentification du 
procede selon ['invention. 

En se ref6rant a I'organigramme de la figure 5, les etapes du 
protocole d'authentification se deroulent de la maniere suivante. 

Dans un premier temps, a I'etape 40, le serveur, ayant recu le 

30 mot de passe client crypte et le code ID, identifie le client a I'aide du . 
code d'identification ID, puis a l'6tape 41, il recherche dans la base de 
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donnees d'authentification BDA, le numero de telephone mobile. 
L'etape 42 suivante consiste a composer le numero du telephone 
mobile a I'aide du modem 10. Si a l'etape suivante 43 la 
communication avec le telephone mobile est obtenue, le serveur emet 
5 grace a son circuit de synthese vocale 12 un message (etape 45) 
signalant qu'il attend de la part du client la cle de cryptage via les 
touches du telephone mobile. L'etape 46 correspond a une etape 
d'attente de la saisie de cette cle pendant une duree limitee 
predeterminee. L'etape suivante 47 consiste a authentifier le mot de 

10 passe MPAUT recu via le reseau 4 par le decryptage de ce mot de 
passe avec la cle et I'authentification du mot de passe client obtenu, 
conformement au protocole d'authentification. Si le mot de passe 
client MPC est conforme (etape 48), I'authentification est confirmee et 
le client peut acceder aux services 9 offert par le serveur. 

15 L'^chec de I'authentification interviendra done dans les 

circonstances suivantes : 

- non-obtention de la communication avec le telephone mobile ; et 

- mauvaise ou absence d'entree du mot de passe client MPC et de la 
cle de cryptage. 

20 Le procede de securisation selon I'invention peut trouver une 

application particulierement int6ressante lorsqu'il est mis en oeuvre 
dans le cadre d'un systeme de protection juridique et d'authentification 
d'eeuvres numeriques represent^ schematiquement en figure 7. Ce 
systeme, construit autour d' Internet et du web, comprend un premier 

25 site S1 procurant une fonction de tierce partie de datation, un second 
site S2 procurant une fonction de tierce partie d'authentification, et un 
troisifcme site S3 procurant une fonction de tierce partie d'archivage. II 
peut en outre comporter, sans que cela soit pour autant indispensable, 
un site SP fournisseur de services d'authentification procurant une 

30 fonction de portail et d'aiguillage vers les diffSrentes sites precit6s. 
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Chacune des sites tierces parties est equipe d'un logiciel 
implementant le procede de securisation selon I'invention. Lorsqu'un 
client auteur ou detenteur d'une ceuvre numerique sollicite chacun des 
sites tierces parties S1, S2, S3 f soit directement soit via le site portail 
5 fournisseur de services SP, le procede de securisation selon I'invention 
est execute avec fourniture a ce client via un reseau d'un operateur de 
teiephonie mobile d'un mot de passe MPA1, MPA2, MPA3, puis 
emission par le client via Internet d'un mot de passe d'authentification 
MPAU1 , MPAU2, MPAU3 destine au site tierce partie sollicite. On peut 

10 bien sur prevoir que I'autorite judiciaire puisse directement acceder en 
cas de besoin aux informations et donnees stockees dans les 
differentes sites tierces parties pour le compte des clients utilisateurs 
de ce systeme d'authentification mettant en ceuvre le procede de 
securisation selon I'invention. 

15 Bien sur, I'invention n'est pas limitee aux exemples qui viennent 

d'etre decrits et de nombreux amenagements peuvent etre apportes a 
ces exemples sans sortir du cadre de Tinvention. En particulier, le 
procede de securisation selon I'invention peut aussi concerner les 
equipements mobiles d'acces a Internet utilisant la technologie WAP 

20 (Wired Access protocole). On pourra aussi prevoir que sur un meme 
equipement mobile soient accessibles un premier reseau de 
communication mobile WAP pfocurant un acces a Internet et un second 
reseau de communication mobile procurant le vecteur de transmission 
des mots de passe transmis par un site mettant en ceuvre le procede de 

25 securisation selon I'invention. 
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Revendications 

5 1 . Procede de securisation d'acces a un serveur informatique depuis un 
site client via au moins un premier reseau de communication, ce 
serveur comprenant des moyens pour gerer un protocole 
d'authentification d'un utiiisateur du site client, comprenant une 
sequence de reception et le traitement de donnees d'identification d'un 

10 utiiisateur du site client, et une sequence de transmission d'un 
message depuis le site serveur vers un equipement de communication 
detenu par I'utilisateur du site client via un second reseau de 
communication, caracterise en ce que ce message transmis est un 
message vocal destine a etre traite directement par ledit utiiisateur 

15 pour generer un mot de passe d'authentification prevu pour etre 
transmis audit site serveur via I'un ou I'autre desdits premier ou second 
reseaux de communication. 

2. Procede de securisation selon la revendication 1, caracterise en 
20 ce qu'il comprend les etapes consistant a : 

- demander au site client des donnees d'identification (ID f MPC) via le 
premier reseau de communication (4) ; 

- traiter lesdites donnees (ID,MPC) et rechercher dans une base de 
donnees d'authentification (BDA) un numero d'appel d'un equipement 

25 de communication mobile detenu par I'utilisateur du site client ; 

- appeler ledit equipement de communication mobile via au moins un 
second reseau de communication ; 

- apres etablissement d'une communication avec ledit Equipement de 
communication mobile, generer un mot de passe al6atoire ou pseudo- 

30 aleatoire (MPA) ; 
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- emettre un message vocal comprenant ledit mot de passe aleatoire 
(MPA) via le second reseau de communication (6) ; 

- demander a I'utilisateur de fournir, a partir du site client via le premier 
reseau de communication (4), un mot de passe d'authentification 

5 (MPAUT) derive dudit mot de passe aleatoire ou pseudo-aleatoire 
(MPA) ; et 

- authentifier ledit mot de passe d'authentification (MPAUT). 

3. Precede selon la revendication 2, caracterise en ce que le mot de 
10 passe d'authentification (MPAUT) correspond au mot de passe 

aleatoire ou pseudo-aleatoire (MPA) genere par le serveur et 
communique via I'equipement de communication mobile. 

4. Procede selon la revendication 2, caracterise en ce que le mot de 
1 5 passe d'authentification (MPAUT) est constitue par le mot de passe 

aleatoire ou pseudo-aleatoire (MPA) genere par le serveur et 
communique via I'equipement de communication mobile, auquel est 
appliquee une cle connue du client utilisateur et comprise dans la base 
de donnee d'authentification du serveur (BDA) r I'etape 
20 d'authentification comportant une etape de conversion dudit mot de 
passe d'authentification en mot de passe aleatoire ou pseudo-aleatoire 
(MPA) par application de ladite cle. 

5. Procede selon Tune des revendications precedentes, caracterise 
25 en ce que les donn6es d'identification demandees au client consistent 

en un couple [code d'identification / mot de passe client] (ID/MPC). 

6. Procede selon Tune des revendications pr6c6dentes, caracterise 
en ce que I'etape qui consiste & demander au client le mot de passe 

30 d'authentification (MPAUT) se deroule pendant une duree 
predetermin6e au deia de laquelle I'authentification est refus6e. 
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7. Precede cle securisation selon la revendication 1, caracterise en ce 
qu'il comprend les etapes cote site serveur consistant a : 

- demander au site client des donnees d'identification (ID,MPC) via le 
5 premier reseau de communication (4) ; 

- traiter lesdites donnees (ID,MPC) et rechercher dans une base de 
donnees d'authentification (BDA) un numero d'appel d'un equipement 
de communication mobile detenu par I'utilisateur du site client ; 

- appeler ledit equipement de communication mobile via au moins un 
10 second reseau de communication ; 

- en cas d'obtention de la communication avec ledit equipement de 
communication mobile, emettre un message vocal requerant I'envoi par 
I'utilisateur d'une cle de cryptage ; 

- recevoir et reconnaTtre la cle de cryptage transmise par le client via 
1 5 des touches de I'equipement de communication mobile; 

- decrypter £ I'aide de ladite cle de cryptage un mot de passe 
d'authentification (MPAUT) transmis par le client via le premier reseau 
de communication, ce mot de passe d'authentification resultant d'un 
cryptage d'un mot de passe client realise sur le site client au moyen 

20 de la cle de cryptage ; et 

- authentifier le mot de passe client (MPC) resultant du decryptage du 
mot de passe d'authentification. 

8. Procede selon la revendication 7, caracteris6 en ce que I'etape 
25 de reception de la cI6 de cryptage se d^roule pendant une duree 

predeterminee au dela de laquelle I'authentification est refusSe. 

9. Systeme de securisation d'acc6s a un serveur informatique depuis 
un site client via au moins un premier reseau, de communication, 

30 mettant en ceuvre le proced6 selon Tune quelconque des 
revendications prec6dentes, ce systeme comprenant sur le site serveur 
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des moyens pour gerer un protocole d'authentification d'un utilisateur 
du site client, des moyens pour recevoir et traiter des donnees 
d'identification d'un utilisateur du site client, et des moyens pour 
generer et pour transmettre un message depuis le site serveur vers un 
5 equipement de communication detenu par I'utilisateur du site client via 
un second reseau de communication, caracterise en ce que ce systeme 
est agence pour transmettre via le second reseau de communication un 
message vocal destine a etre traite directement par ledit utilisateur 
pour generer un mot de passe d'authentification prevu pour etre 
10 transmis audit site serveur via ledit premier reseau de communication. 

10. Systeme de securisation selon la revendication 9, comprenant en 
outre : 

- des moyens pour rechercher, en reponse a une reception de donnees 
15 d'identification en provenance d'un site client requerant un acces, dans 

une base de donnees d'authentification (BDA) un numero d'appfel d'un 
equipement de communication mobile detenu par I'utilisateur du site 
client ; 

- des moyens pour appeler ledit equipement de communication mobile 
20 via au moins un second reseau de communication ; 

- des moyens pour generer un mot de passe aleatoire ou pseudo- 
aleatoire (MPA), et 

- des moyens pour authentifier un mot de passe d'authentification en 
provenance du site client via le premier r6seau de communication, 

25 caracterisS en ce qu'il comprend en outre : 

- des moyens pour emettre un message vocal comprenant ledit mot de 
passe aleatoire (MPA) via le second reseau de communication (6), et 

- des moyens pour requerir de I'utilisateur dudit site client une 
fourniture, via le premier r6seau de communication (4), d'un mot de 

30 passe d'authentification (MPAUT) d6riv6 dudit mot de passe aleatoire 
ou pseudo-aleatoire (MPA)* 
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1 1 . Systeme de securisation selon la revendication 9, comprenant : 

- des moyens pour demander au site client des donnees d'identification 
(ID,MPC) via le premier reseau de communication (4) ; 

5 - des moyens pour traiter lesdites donnees (ID,MPC) et rechercher dans 
une base de donnees d'authentification (BDA) un numero d'appel d'un 
equipement de communication mobile detenu par I'utilisateur du site 
client ; 

- des moyens pour appeler ledit equipement de communication mobile 
10 via au moins un second reseau de communication ; 

- des moyens pour emettre un message vocal requerant I'envoi par 
I'utilisateur d'une cle de cryptage ; 

- des moyens pour recevoir et reconnaTtre la cle de cryptage transmise 
par le client via des touches de I'equipement de communication mobile; 

15 - des moyens pour decrypter a I'aide de ladite cle de cryptage. un mot 
de passe d'authentification (MPAUT) transmis par le client via le 
premier reseau de communication, ce mot de passe d'authentification 
resultant d'un cryptage d'un mot de passe client realise sur le site 
client au moyen de la cle de cryptage ; et 

20 - des moyens pour authentifier le mot de passe client (MPC) resultant 
du decryptage du mot de passe d'authentification. 

12. Application du procede de securisation selon Tune quelconque des 
revendications 1 a 8 dans un systeme d'authentification d'oeuvres 

25 numeriques comportant des sites tierces parties de datation, 
d'authentification et d'archivage connecte & un premier reseau de 
communication, caracterisee en ce que chaque site tierce partie 
comprend localement des moyens logiciels pr6vus (i) pour transmettre 
sous forme vocale a un site client sollicitant une operation 

30 d'authentification des donnees de securisation via un Equipement de 
communication mobile associe audit site client et connecte a un 
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second reseau de communication, et (ii) pour recevoir dudit site client 
via le premier reseau de communication un mot de passe 
d'authentification resultant desdites donnees de securisation. 
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(57) Abstract: The invention concerns a method for making secure the access to a computer server from a client site via at least a 
first communication network, said server comprising means for managing a protocol authenticating a user of a ciient site, comprising 
a reception sequence and processing of identification data of a user of a client site, and a sequence for transmitting a message from 
the server site to a communication equipment held by the user of the client site via a second communication network. The transmitted 
message is a voice message to be processed directly by said user to generate an authenticating password designed to be transmitted 
to said server site via one or the other of the first or second communication networks. The invention provides the advantage of 
enhancing security of authenticating protocols, particularly existing ones, at lower costs. 

(57) Abreg6: Proce^te de securisation d'acces a un serveur informatique depuis un site client via au moins un premier r£seau de 
communication, ce serveur comprenant des moyens pour g£rer un protocole d'authentification d*un utilisateur du site client, com- 
prenant une sequence de reception et le traitement de donnees d* identification d*un utilisateur 
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du site client, et une sequence de transmission d*un message depuis le site serveur vers un equipement de communication d&enu par 
rutilisateur du site client via un second rlseau de communication. Le message transmis est un message vocal destine* a etre trait6 
directemem par ledit utilisateur pour generer un mot de passe d'authentification prevu pour eUre transmis audit site serveur via Vun 
ou 1* autre des premier ou second reseaux de communication. Avantage: ^enforcement a moindre coOt du niveau de securisation des 
protocoles d' authentication notamment exis tarns. 
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